В ноябре пользователи WordPress столкнулись с уязвимостью некоторых плагинов, причем с разным уровнем – от низкого до самого критического. Команда WordPress сообщила о проблемах в целях обеспечения безопасности сообщества. Рассмотрим, какие баги оказались наиболее интересными и были ли они исправлены. Если вы планируете создать сайт на WordPress или уже давно используете эту CMS, то обратите внимание на нашу подборку уязвимостей и проверьте обновления плагинов, чтобы не допустить взлома.
Стоит отметить, что платформа WordPress столкнулась с тем, что истек срок действия сертификата корневого центра сертификации DST X3, но это было исправлено в версии 5.8.2. Почему это произошло? Дело в том, что файл wp-includes / Certific / ca-bundle.crt содержит корневой сертификат DST X3, срок действия которого истек 30 сентября 2021 года. Эта ошибка вызывает предупреждение системы безопасности и браузеров. Уязвимость wordpress исправлена, пользователям следует убедиться в том, что они используют WordPress версии не ниже 5.8.2.
Топ-10 уязвимостей плагинов WP – обзор за ноябрь
Почему стоит обратить внимание на уязвимость плагинов? Прежде всего это связано с тем, что для злоумышленников упрощается процедура взлома сайта Wordpress. В дальнейшем это приводит к утечке данных. Рассмотрим самые серьезные уязвимости плагинов ВордПресс и какую угрозу они представляли.
Регистрация в календаре событий
Этот плагин столкнулся с неаутентифицированным внедрением SQL-кода. Ошибка в работе утилиты была исправлена в версии 2.7.6. Специалисты оценивают эту уязвимость, как высокую.
LoginWP
С LoginWP произошло то, что начали отражаться межсайтовые скрипты. Этот баг исправлен в ver. 3.0.0.5 Оценка серьезности: высокая. Чтобы больше не испытывать проблем с плагином, выполните обновления до версии 3.0.0.5.
WooCommerce Currency Switcher
Переключатель валют WooCommerce, как и в прошлом случае, столкнулся с некоторыми проблемами, связанными с отражением межсайтовых сценариев. Баг исправлен в версии 1.3.7.1 и, если вы, до сих пор сталкиваетесь с неполадками, выполните обновления. Эксперты оценивают среднюю серьезность этого бага.
Защищенное копирование и блокировка содержимого
Плагин для защиты содержимого и безопасного копирования - WP-Copy Protect столкнулся с очень серьезной уязвимостью. Существовали риски раскрытие подписчика и адреса электронной почты. Но разработчики оперативно среагировали и исправили ошибку в версии 2.8.2.
Bookly
Плагин Bookly начал отображать межсайтовые скрипты, хранимые сотрудниками, но специалисты пофиксили баги в версии 20.3.1 Оценка серьезности: средняя. Выполните обновление до версии 20.3.1, чтобы больше не сталкиваться с подобными неполадками.
Живой чат Tawk.to
Уязвимость плагинов, в том числе такого, как Tawk.to Live Chat, очень сильно бьет по защите данных. Злоумышленникам легко получить доступ к важной информации. В случае с плагином Tawk.to проблема заключалась в мониторинге подписчиков и посетителей, а также удалении чата. Эту уязвимость оценивают, как высокую. Ее исправили в версии: 0.6.0.
Доступ к данным WP
WP Data Access испытала трудности с внедрением SQL-кода, но недолго. В версии 5.0.0 ошибка была устранена. Оценка серьезности: высокая
Программа просмотра PDF.js
PDF.js Viewer начал сохранять межсайтовые скрипты. Но специалисты пофиксили баг в версии : 2.0.2 Насколько эта ошибка критична? Эксперты оценивают уязвимость, как среднюю.
Резервное копирование и восстановление
Плагин резервного копирования и восстановления - BackUp Wordpress испытывал трудности с произвольным удалением файлов. Специалисты оценивают критичность этого бага средне, и она до сих пор не исправлена. Поэтому удалите этот плагин, пока неполадки не будут устранены.
LearnPress
Проверка wordpress на уязвимости показала, что плагин LearnPress испытал сложности с внедрением SQL-кода, но баг был исправлен и ??в версии 4.1.4. Оценка серьезности: средняя. Выполните обновления, чтобы больше не сталкиваться с этой проблемой.
Также ошибки возникли при работе следующих добавлений: OptinMonster, WordPress Popular Posts и Video Gallery. Чтобы не сталкиваться с уязвимостью, рекомендуем использовать Wp Reset Pro – этот инструмент упрощает отладку и разработку тем и плагинов путем сброса и восстановления.
Помните, что регулярное обновление CMS и ее плагинов является неотъемлемой частью цифровой гигиены. Приглашаем Вас протестировать наш WordPress хостинг 7 дней бесплатно. Мы специально оптимизировали настройки PHP и MySQL для максимальной эффективности работы этой популярной CMS.
Подписывайтесь на наш телеграмм - канал t.me/freehostua, чтобы быть в курсе новых полезных материалов. Смотрите наш Youtube канал на youtube.com/freehostua.
Дата: 29.11.2021 Автор: Евгений
|
|
Рекомендовані статті на тему:
- Як захистити та зміцнити свій сайт на WordPress: практики, поради, інструкції
- Установка Wordpress на Debian 10. Инструкция
- Реліз Joomla 5.0 та Joomla 4.4: нові можливості та покращення
- ТОП-8 лучших плагинов Wodpress для отзывов и рейтинга вашего сайта
- Какую CMS выбрать для интернет-магазина в 2020 году? Рейтинг и обзор лучших движков
Авторам статті важлива Ваша думка. Будемо раді його обговорити з Вами:
comments powered by Disqus